從 C# 調用 Google OAuth2 獲取訪問令牌導致“無效授權”
[英]Calling Google OAuth2 from C# To Get Access Token Results in "Invalid Grant"
問題描述
我正在嘗試將現有應用程序與 Google 的 OAuth2 系統集成,以便更安全地調用 Google 服務,例如 GMail,並遠離 C# 中的標准 SMTP 客戶端發送技術。我已經設置了一個服務帳戶並獲得了 P12 密鑰和所有內容已經到位並且調用將轉到 OAuth 服務器但是當調用“GetResponse”時我不斷收到以下 JSON 響應:
{"error":"invalid_grant","error_description":"Invalid JWT: Token must be a short-lived token (60 minutes) and in a reasonable timeframe. Check your iat and exp values in the JWT claim."}
下面是我用來進行此調用的 C# 代碼,我也通過 CURL 獲得了相同的結果。每次我使用本地時間或 UTC 時間擺弄“iap”和“exp”值時,我都會收到不同的消息。 似乎我現在擁有的代碼是我應該使用的代碼,但我無法確定為什么我仍然收到這些消息。 根據Google 文檔,我已經確定系統時鍾與 time.google.com 的 Google NTP 同步,但仍然沒有變化。 在進行 web 請求調用時,我在構建 JSON Web 令牌 (JWT) 時做錯了什么?
try
{
RSACryptoServiceProvider rsaCryptoServiceProvider = new RSACryptoServiceProvider();
List<string> jwtSegments = new List<string>();
var jwtHeader = new {
alg = "RS256",
typ = "JWT"
};
int nowTimeInEpochSeconds = (int)Math.Floor((DateTime.Now - new DateTime(1970, 1, 1)).TotalSeconds);
var jwtClaimSet = new {
iss = "***********@********.iam.gserviceaccount.com",
scope = "https://www.googleapis.com/auth/gmail.send",
aud = "https://oauth2.googleapis.com/token",
exp = nowTimeInEpochSeconds + 3600,
iat = nowTimeInEpochSeconds
};
string serializedHeader = JsonConvert.SerializeObject(jwtHeader, Formatting.None);
string serializedClaimSet = JsonConvert.SerializeObject(jwtClaimSet, Formatting.None);
byte[] jwtHeaderBytes = Encoding.UTF8.GetBytes(serializedHeader);
byte[] jwtClaimSetBytes = Encoding.UTF8.GetBytes(serializedClaimSet);
string base64EncodedHeader = Base64UrlEncode(jwtHeaderBytes);
string base64EncodedClaimSet = Base64UrlEncode(jwtClaimSetBytes);
jwtSegments.Add(base64EncodedHeader);
jwtSegments.Add(base64EncodedClaimSet);
string jwtRequestToSign = string.Join(".", jwtSegments);
byte[] jwtRequestBytesToSign = Encoding.UTF8.GetBytes(jwtRequestToSign);
X509Certificate2 cert = new X509Certificate2(@"C:\**************.p12", "notasecret");
AsymmetricAlgorithm rsaSignature = cert.PrivateKey;
byte[] signature = rsaCryptoServiceProvider.SignData(jwtRequestBytesToSign, "SHA256");
string jwt = jwtRequestToSign + "." + Base64UrlEncode(signature);
WebRequest webRequestForaccessToken = WebRequest.Create("https://oauth2.googleapis.com/token") as HttpWebRequest;
string accessTokenRequestParameters = "grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=" + jwt;
byte[] accessTokenRequestFromJwt = Encoding.UTF8.GetBytes(accessTokenRequestParameters);
string token = string.Empty;
if (webRequestForaccessToken != null)
{
webRequestForaccessToken.Method = "POST";
webRequestForaccessToken.ContentType = "application/x-www-form-urlencoded";
webRequestForaccessToken.ContentLength = accessTokenRequestFromJwt.Length;
using (Stream stream = webRequestForaccessToken.GetRequestStream())
{
stream.Write(accessTokenRequestFromJwt, 0, accessTokenRequestFromJwt.Length);
}
using (HttpWebResponse httpWebResponseForaccessToken = webRequestForaccessToken.GetResponse() as HttpWebResponse)
{
Stream streamForaccessToken = httpWebResponseForaccessToken?.GetResponseStream();
if (streamForaccessToken != null)
{
using (StreamReader streamReaderForForaccessToken = new StreamReader(streamForaccessToken))
{
string jsonUserResponseString = streamReaderForForaccessToken.ReadToEnd();
JObject groupsIoApiUserObject = JObject.Parse(jsonUserResponseString);
token = groupsIoApiUserObject["access_token"].ToString();
}
}
}
}
}
catch (WebException ex)
{
try
{
string resp = new StreamReader(ex.Response.GetResponseStream()).ReadToEnd();
Console.WriteLine(resp);
}
catch (Exception parseException)
{
string m = parseException.Message;
}
}
catch (Exception e)
{
Console.WriteLine(e.Message);
}
2 個解決方案
解決方案1
1 2022-03-15 10:45:43
你的計算方法不好,或者你的服務器時間不正確的兩個原因,可以檢查類似:
int nowTimeInEpochSeconds = DateTimeOffset.UtcNow.AddMinutes(59).ToUnixTimeSeconds()
解決方案2
1 2022-03-15 14:28:32
因此,事實證明有兩件事需要更正。 首先是根據@GAOUL 提供的答案,我沒有正確計算紀元時間(盡管我不得不修改建議的行以刪除“AddMinutes”方法以獲得“iat”字段的正確值)。 然后,“exp”值變成“iat”值加上 3600(1 小時)。
所以我原來的時間計算是從這個開始的:
int nowTimeInEpochSeconds = (int)Math.Floor((DateTime.Now - new DateTime(1970, 1, 1)).TotalSeconds);
對此:
int nowTimeInEpochSeconds = (int)Math.Floor((double)DateTimeOffset.UtcNow.ToUnixTimeSeconds());
我在檢查自己的代碼后發現的第二個問題是我沒有正確地使用私鑰簽名(根本沒有使用私鑰簽名)。
所以我替換了這個代碼分支:
X509Certificate2 cert = new X509Certificate2(@"C:\**************.p12", "notasecret");
AsymmetricAlgorithm rsaSignature = cert.PrivateKey;
byte[] signature = rsaCryptoServiceProvider.SignData(jwtRequestBytesToSign, "SHA256");
用這個分支代替:
X509Certificate2 certificate = new X509Certificate2(@"**************.p12", "notasecret");
RSA rsa = certificate.GetRSAPrivateKey();
byte[] signature = rsa.SignData(jwtRequestBytesToSign, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
應用這些更改后,我從 Google OAuth 服務器收到了有效響應,其中包含訪問/刷新令牌以及其他字段。
另外,感謝@dazwilkin 引用 JWT.io。 那也是一個很大的幫助!
Firebase 雲消息傳遞:app/invalid-credential - 無法獲取有效的 Google OAuth2 訪問令牌
[英]Firebase Cloud messaging : app/invalid-credential - failed to fetch a valid Google OAuth2 access token
錯誤:invalid_grant,用於使用刷新令牌獲取訪問令牌
[英]error: invalid_grant , for getting access token using refresh token
Azure AD 在交換訪問令牌的 OAuth2 代碼時返回非 JWT 令牌
[英]Azure AD returns non JWT Tokens when exchanging the OAuth2 code for an access token
如何在命令行工具中使用 OAuth2 來訪問托管在 Google Appengine 上的應用程序?
[英]How do I use OAuth2 in a command line tool to access an application hosted on Google Appengine?
似乎無法使用服務帳戶在 python 中模擬用戶或無法通過 google oauth2 獲取令牌
[英]Can't seem to impersonate user or not getting token with google oauth2 in python using a service account
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
僅使用 curl 獲取谷歌 Oauth2 訪問令牌
Firebase 雲消息傳遞:app/invalid-credential - 無法獲取有效的 Google OAuth2 訪問令牌
邏輯應用程序 - 獲取 OAuth2 令牌?
錯誤:invalid_grant,用於使用刷新令牌獲取訪問令牌
如何在 .net c# 中生成 Oauth2 OIDC 授權碼
Firebase 管理員 - 獲取谷歌 OAuth 令牌
Azure AD 在交換訪問令牌的 OAuth2 代碼時返回非 JWT 令牌
如何在命令行工具中使用 OAuth2 來訪問托管在 Google Appengine 上的應用程序?
似乎無法使用服務帳戶在 python 中模擬用戶或無法通過 google oauth2 獲取令牌
在 oauth2.0 授權代碼授權流程中獲取新的刷新令牌
相關標簽